- •Стратегическая информация предприятия, как основной ресурс зи
- •Основы экономической оценки информационных систем (ис), международный подход. Основные факторы, влияющие на эффективность экономических ис
- •Общая характеристика основных методов оценки ис
- •Методология определения показателя снижения трудовых затрат(за счёт реализации проектов)
- •Концептуальная модель экономической безопасности государства
- •Установление контроля иностранного капитала за отечественной экономикой Утечка и развал интеллектуального потенциала государства
- •Типовые технико-экономические задачи по зи на предприятии Общее содержание технико-экономических задач по зи
- •Бюджет службы иб
- •Обоснование потребного бюджета службы иб
- •Рентабельность
- •Финансовая отчётность деятельности службы иб
- •Обобщённые показатели оценки состояния иб и её бюджета.
- •Страхование, как способ экономической защиты иб
- •Причины трудности реализации страхования информационных рисков в России
- •Классификация и виды страхования в рф
- •Основные положения по экономической оценке эффективности зи Терминологический аппарат оценки эффективности зи
- •Основы оценки стоимости закрытия информационных ресурсов (зи) (Комплексный подход)
- •Общая стоимость закрытия (защиты ) информационных ресурсов (комплексный подход)
- •Оценка экономических затрат на зи
- •Методика совокупной стоимости владения для экономической оценки эффективности зи
- •Технология оценки затрат на иб
- •Анализ затрат на обеспечение иб
- •Эффективность инвестиций в зи
- •Методы используемые при оценке инвестиций в зи
- •Оценка и управление информационными рисками
- •Содержание оценки информационных рисков
- •Экономическая оценка эффективности защиты интеллектуальной собственности Общая оценка интеллектуальной собственности и возможных убытков от противоправного её использования
- •Международный подход оценки рыночной стоимости объектов интеллектуальной собственности
- •Методический подход оценки состояния интеллектуальной собственности на предприятии
Оценка и управление информационными рисками
Экономика ЗИ в основном стоится на 3-х составляющих:
оценка затрат (совокупной стоимости владения)
оценка инвестиций
оценка информационных рисков
Основные понятие в области информационных рисков:
Риск – вероятностный ущерб, который зависти от степени защищённости информационных систем и технологий.
Оценка информационных рисков - это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков
Анализ информационных рисков - это процесс комплексной оценки (по совокупности показателей) защищенности информационной системы с переходом к количественным или качественным показателям рисков и определение положительных или отрицательных сторон оценки.
Управление информационными рисками – процесс идентификации (оценки), а также уменьшение рисков (оптимизация (минимизация) информационных рисков).
Содержание оценки информационных рисков
В настоящее время существует несколько подходов к измерению (оценке) информационных рисков, из них наиболее распространёнными являются:
Оценка по двух факторам
Оценка по трём факторам
Оценка рисков по двум факторам
В простейшем случае в данном подходе используется при оценке следующие два фактора:
Вероятность реализации угрозы
Цена ожидаемых потерь
Риск = Pугр.*Cпотерь
Если Pугр.*Cпотерь являются количественными параметрами, то реализуется данная формула.
Если Pугр.*Cпотерь являются качественными параметрами, то данная формула не работает. Поэтому вводится таблично-экспертный подход по двум факторам.
Ожидаемый ущерб
Вероятность события |
Neg(N) |
Min (M) |
Mod (Mo) |
Ser (S) |
Crit |
A |
Низкий риск |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
B |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
Высокий риск |
C |
Низкий риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
D |
Средний риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
E |
Средний риск |
Высокий риск |
Высокий риск |
Высокий риск |
Высокий риск |
Вероятность событий (угроз) определяется экспертами на основе шкалы:
A – события почти никогда не происходят |
B – события случаются редко |
C – средняя вероятность события (0.5) |
D – скорее всего событие произойдёт |
E – событие почти обязательно произойдёт |
Ожидаемый ущерб экспертом определяется согласно следующе шкалы:
Neg (N) – воздействием можно пренебречь |
Min (M) – последствия легко устранимы, затраты не велики, значения на информационную технологию не значительные |
Mod (Mo) – последствия с умеренными результатами. Ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико, не затрагивает критически важных задач (бизнес-процессов) |
Ser (S) – серьёзные последствия. Ликвидация последствий связаны с большими затратами. воздействие на информационную технологию ощутимы, воздействует на выполнение критически важных задач (бизнес-процессов) |
Crit – происшествие приводит к невозможности решения критически важных задач. |
Шкалы факторов рисков могут быть другими и иметь другие градации на основе мнения аналитика.
Оценка рисков по трём факторам.
На практике часто возникает задача более глубокого расчёта информационных рисков (ожидаемого вероятностного ущерба), поэтому разработана методология оценки рисков по трём факторам:
Вероятность реализации угрозы (угроза);
Вероятность наличия уязвимости (уязвимость);
Цена ожидаемых потерь
Два подхода:
Количественный на основе: Pриск=Pугр.*Pуязв.*Спотерь.
Качественный на основе таблично-экспертного подхода:
Цена потерь (ущерб) (степень серьёзности происшествия) |
Уровень угрозы |
|||||||||
Низкий |
Средний |
Высокий |
||||||||
Уровень уязвимости |
Уровень уязвимости |
Уровень уязвимости |
||||||||
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
||
Незначительный |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
|
Несущественный |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
|
Умеренный |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
|
Серьёзный |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
|
Критический |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
|
Выходной параметр показателя риска измеряется в данном подходе по шкале от 0 до 8 с уровнями риска:
0 – риск отсутствует;
1 – Риск практически отсутствует, теоретически возможны ситуации, когда такие ситуации наступают, а потенциальный ущерб невелик;
2 – Риск очень мал, вероятность возникновения низка, потенциальный ущерб невелик;
8 – Риск очень велик, события, скорее всего наступят, а ущерб будет очень тяжёлым.
возможно сделать 4-ый фактор сделать модель 4D
Анализ информационных рисков позволяет на основании проведённых расчётов определить (обосновать) допустимые значения вероятностного ущерба (рисков) в рассматриваемой ситуации
Анализ проводится в след последовательности:
Выбор анализируемых инф. объектов и степень их детализации
Выбор ХЪ целесообразных методик оценки информационных рисков
Идентификация активов
Анализ информационных угроз и уязвимостей для рассматриваемых информационных объектов
Реализация вычислительной процедуры по оценке рисков
Выбор мероприятий по ЗИ
Реализации и проверка эффективности выбранных мер по ЗИ
Оценка остаточного риска
Существуют подходы анализа информационных рисков
Статистический анализ (на основе учёта выявленных статистических данных - эмпирики)
Анализ целесообразности затрат, с использованием метода ТСО
Аналитический подход по мат. формулам
Экспертные оценки
Сравнительный метод
На первом этапе анализа рисков выбираются анализируемые объекты и обосновывается деятельность их рассмотрения (на основе принципа разумной достаточности)
Как правило для анализа с большей детализацией выбираются более важные объекты информационной безопасности, а также новые или модифицированные информационные объектов предприятия
На втором этапе выбирается количественная или качественная методика оценки рисков
На практике используют наиболее простые и наглядные методы расчёта, как правило построенные на теории вероятности
На третьем этапе происходит идентификация активов предусматривает прежде всего технические и программные средства обработки информации, а также люди
Основные категории активов информационных объектов
Персонал (кукловодство, пользователи, обслуживающий персонал)
Аппаратное обеспечение
Программное обеспечение
Информационное обеспечение (данные)
Документации
Расходные материалы
Результатом идентификации активов является построение информационной модели обработки закрытой информации на предприятии
Анализ угроз
На основании анализа угроз по указанным активам осуществляется их ранжирование по степеням возможного ущерба. При этом выявляются источники (нарушители), уязвимые места. И возможные информационные атаки.
Применительно к АС предприятия рассматриваются угрозы:
Нелегальное ознакомление
Несанкционированное уничтожение и модификация
Отказ в обслуживании
Этап оценки рисков предусматривает на практике последовательность действий:
Экспертная оценка событий (труднопредсказуемых угроз)
Использование выбранной методики оценки
Анализ полученных оценок информационных рисков
Формулирование общих направлений целесообразных мер по ЗИ
В качестве методики оценки рисков на предприятии используется:
Методика определения рисков по 3-х бальной шкале
Метолика определения рисков с учётом потенциальных угроз и их последствий
Статистическая оценка событий
Метолика использования аналитических моделей, формульных зависимостей
и т.д
Методика оценки рисков на основе многофакторных испытаний
Соответствующие меры по ЗИ в интересах снижения инф рисков должны предусматривать:
Комплекс мер организационных, технических и тд
Управление информационными рисками – процесс выявления, оценки и снижения (минимизации) информационных рисков
Управление информационными рисками реализуется на практике на всех стадиях жизненного цикла защищаемой информационной системы (технологии):
Предпроектная стадия создания информационной системы (технологии), при этом выявляются основные классы информационных рисков для будущей ИС
Непосредственное проектирование ИС, выявляются информационных рисков вытекающие из особенности архитектуры, разрабатываемой ИС
Построение, создание ИС (монтаж, настройка, конфигурирование) Идентифицируются все классы информационных рисков до начала функционирования ИС
Функционирование ИС (технологии)
При этом осуществляется периодическая оценка информационных рисков с учётом ХЪ происходящих изменений и конфигурации
Прекращение функционирование ИС, включая и утилизацию
Способы минимизации информационных рисков при управлении
Они делаться на способы:
разрешение рисков
Избежание рисков (уклонение от мероприятий связанных с риском)
Передача рисков (ответственность за риск передаётся кому-то другому)
степени снижения рисков
Сокращения вероятности и объёма потерь, способы:
Диверсификация – распределение улий между различными видами деятельности (ИБ, непосредственно связанных с друг другом)
Хетширование – способ компенсаций возможных потерь от рисков в условиях высоких инфляционных ожиданий, то есть страхование ресурса от информационного риска путём создания обязательств
Страхование